Po wejściu w życie nowych przepisów UE kradzież informacji o klientach taką jak z Yahoo serwisy internetowe będą musiały zgłaszać bez zwłoki. Także te amerykańskie.
W miniony czwartek serwis Yahoo ujawnił, że padł ofiarą hakerów, którzy wykradli dane pół miliarda użytkowników. Imiona, nazwiska, adresy e-mail, pytania z podpowiedziami pozwalającymi na weryfikację tożsamości – wszystko razem tworzy komplet danych umożliwiających przejęcie konta. Był to prawdopodobnie największy wyciek danych, do jakiego doszło w całej historii internetu. Co zaś najgorsze, użytkownicy dowiadują się o nim dopiero po dwóch latach, gdyż włamanie nastąpiło w 2014 r. Pojawiają się sugestie, że serwis zwlekał z jego ujawnieniem. Hacker przedstawiający się jako Peace już w sierpniu chwalił się, że posiada dane 200 mln użytkowników.
Choć oczywiście największa grupa pokrzywdzonych to prawdopodobnie Amerykanie, serwis miał też użytkowników z państw Unii Europejskiej. Od maja 2018 r., kiedy to wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, będą oni dużo skuteczniej niż dzisiaj chronieni. Serwis nie będzie już mógł zwlekać z poinformowaniem o wycieku.
– Nowe przepisy w takich sytuacjach nakładają na administratorów podwójny obowiązek zgłoszeniowy. Z jeden strony będą oni musieli w ciągu 72 godzin od momentu powzięcia informacji o wycieku zgłosić to właściwemu organowi nadzorczemu, a więc w Polsce GIODO. Z drugiej jednak będą też mieli obowiązek powiadamiania bez zbędnej zwłoki wszystkich osób, których dane dotyczą – wyjaśnia dr Grzegorz Sibiga z Kancelarii Traple, Konarski, Podrecki i Wspólnicy.
Nowe rozporządzenie będzie musiało być przestrzegane nie tylko przez firmy mające siedziby w państwach UE, ale także spoza niej, w tym także amerykańskie czy azjatyckie koncerny. Wystarczy, że usługi związane z przetwarzaniem danych osobowych będą oferować użytkownikom z państw UE. Obejmą ich wówczas wszystkie regulacje dotyczące prywatności, a więc także obowiązek podwójnego informowania o wycieku.
Co wyciekło z serwisu Yahoo / Dziennik Gazeta Prawna
A co jeśli nie będą go wypełniać?
– Na przedsiębiorców, którzy będą naruszać obowiązek powiadomienia, choćby przez opóźnianie momentu informowania o wycieku danych, mogą zostać nałożone administracyjne kary finansowe w wysokości nawet do 10 mln euro. Właśnie po to zostały one wprowadzone do przepisów, by motywować administratorów do wypełniania obowiązków, pełniąc rolę prewencyjną – mówi dr Grzegorz Sibiga. Maksymalna kara za brak natychmiastowej informacji to wspomniane przez eksperta 10 mln euro lub też 2 proc. całkowitego rocznego światowego obrotu, przy czym zastosowanie będzie mieć kwota wyższa.
Zgodnie z art. 33 unijnego rozporządzenia organ ochrony danych ma być poinformowany o wycieku bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli później – do informacji mają być dołączone wyjaśnienia. Mało prawdopodobne jest, by opóźnienie liczone w miesiącach, a tym bardziej latach, było wystarczające uzasadnione, by organy unijne odstąpiły od postępowania i ukarania administratora danych.
Z kolei art. 34 nakazuje powiadamiać o naruszeniu osoby, których dane dotyczą. Przekładając to na sprawę Yahoo, chodziłoby o 500 mln użytkowników. Ze względu na skalę administrator nie musiałby wówczas jednak przekazywać indywidualnych zawiadomień, tylko mógłby poprzestać na wydaniu publicznego komunikatu.